Pressemitteilung von Censys, Inc.TM

Censys State of the Internet Report 2025: Malware-Infrastrukturen am Beispiel von Wainscot und BeaverTail

---

---

Censys, einer der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, analysiert in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei werden exemplarisch zwei hochentwickelte Malware-Kampagnen beleuchtet. Beide Fälle geben Einblicke in die Infrastruktur und Taktik von Angreifern.

Wainscot

Die APT-Gruppe Secret Blizzard steht vermutlich mit Russland in Verbindung und griff gezielt die Command-and-Control-Infrastruktur von Storm-0156 an, ein vermutlich mit Pakistan verbundener Bedrohungscluster. Da Angriffe zwischen Bedrohungsgruppen, die mit Nationalstaaten verbunden sind, selten sind, führte Censys eine genauere Analyse dieser Kampagne durch.

Bei dem Angriff von Secret Blizzard auf storm-0156 wurde eine mutmaßliche Variante der Wainscot-Malware genutzt, um automatisch Daten aus dem angegriffenen System zu exfiltrieren. Interessant ist die mutmaßliche Modifizierung von Wainscot: Das beobachtete infizierte System begann nach der Verbindung direkt mit dem Senden von Dokumenten und Bildern, anstatt wie üblich die eingehende Anfrage zunächst mit einer Check-in-Anfrage zu starten. Ein einzelner mit Wainscot infizierter Host versuchte in unvorhersehbaren Abständen von einer anderen IPv4-Adresse aus, Daten zu exfiltrieren. Bei dem Ziel der Kampagne handelt es sich vermutlich um ein indisches Militärziel in einer ländlichen Konfliktzone. Es ist anzunehmen, dass Wainscot absichtlich modifiziert wurde, um die Exfiltration aus einem Zielsystem mit unzuverlässiger Internetverbindung zu unterstützen, indem Dateien verfolgt und extrahiert werden, sobald eine Internetverbindung besteht.

BeaverTail

Die Malware ist Teil einer Kampagne von mutmaßlich nordkoreanischen Akteuren, die auf den Diebstahl sensibler Informationen und die Vorbereitung weiterer Angriffe abzielt. Die Python-basierte Malware tarnt sich häufig als legitime Videokonferenzsoftware. Nach einer ersten Phase als Infostealer installiert sie InvisibleFerret, ein Tool für Keylogging und Fernsteuerung.

Das Forschungsteam von Censys entdeckte mehrere aktive Kontrollserver mit offenen TCP-Ports. Einige Server dienten ausschließlich der Kommunikation mit infizierten Hosts, andere boten ein Anmeldefenster, vermutlich als Interface zur Steuerung der kompromittierten Systeme. Überschneidende Nutzlasten deuten darauf hin, dass die Angreifer eine vorgeschaltete Proxy-Ebene einsetzen, um ihre Infrastruktur zu verschleiern.

Die Forscher von Censys beobachten bei BeaverTail eine klare Ausrichtung auf Softwareentwickler: Die Täter imitieren Arbeitsweisen von Freelance-Entwicklern, teilen Backdoor-Code auf GitHub und platzieren Loader über Paket-Repositories. Diese gezielte Anpassung erhöht die Erfolgschancen der Kampagnen erheblich. Dabei beruht die Effektivität von BeaverTail weniger auf technischer Komplexität, sondern vielmehr auf der hohen Anpassungsfähigkeit und Beharrlichkeit der Akteure - Eigenschaften, die eine anhaltende Bedrohung darstellen.

Mehr über das konkrete Vorgehen der Forscher bei der Untersuchung der Wainscot- und BeaverTail-Kampagnen erfahren Sie im Blogbeitrag unter https://censys.com/blog/2025-state-of-the-internet-malware-investigations.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt